iOS 17.0.1 vá lỗi bảo mật đã được khai thác một cách tích cực

Ba ngày sau khi ra mắt iOS 17, Apple đã phát hành phiên bản iOS 17.0.1 với ba bản vá bảo mật quan trọng. Đáng chú ý, Apple cho biết họ nhận thấy tất cả các lỗ hổng đã được vá đều được báo cáo là đã được khai thác một cách tích cực.

Ngay sau khi phát hành iOS 17.0.1 cùng với iPadOS 17.0.1, watchOS 10.0.1 và nhiều bản vá lỗi quan trọng khác, Apple đã chia sẻ chi tiết về các lỗ hổng an ninh trên trang an ninh của họ.

Ba lỗ hổng đã được vá, một lỗ hổng nhân, một lỗ hổng bỏ qua xác thực chữ ký và một lỗ hổng WebKit cho phép thực thi mã tùy ý.

Apple cho biết mỗi lỗ hổng trong ba lỗ hổng đều đã được báo cáo là đã được khai thác tích cực trước phiên bản 16.7. Đối với các bản vá, iOS 17.0.1 mang đến “các kiểm tra cải thiện” trong khi lỗ hổng thứ ba đã được “điều chỉnh vấn đề xác thực chứng chỉ” để bảo vệ khỏi các lỗi trước đó đã được phát hiện.

Dù tốt nhất là cập nhật lên phiên bản mới để có được sự bảo mật cải thiện, hãy nhớ rằng bạn cần cài đặt iOS 17.0.1 trên iPhone 15/15 Pro của mình trước khi khôi phục từ bản sao lưu với phần mềm này.

Dưới đây là mã CVE cho mỗi lỗ hổng đã được vá:

– Lỗ hổng nhân

– Có sẵn cho: iPhone XS và mới hơn, iPad Pro 12.9-inch thế hệ thứ 2 và mới hơn, iPad Pro 10.5-inch, iPad Pro 11-inch thế hệ thứ nhất và mới hơn, iPad Air thế hệ thứ 3 và mới hơn, iPad thế hệ thứ 6 và mới hơn, iPad mini thế hệ thứ 5 và mới hơn

– Tác động: Kẻ tấn công cục bộ có thể nâng cao đặc quyền của họ. Apple nhận biết một báo cáo cho rằng vấn đề này có thể đã được khai thác tích cực trong các phiên bản iOS trước iOS 16.7.

– Mô tả: Vấn đề đã được giải quyết với các kiểm tra cải thiện.

– CVE-2023-41992: Bill Marczak của Citizen Lab tại Trường Munk Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google

– Lỗ hổng bảo mật

– Tác động: Một ứng dụng độc hại có thể vượt qua xác thực chữ ký. Apple nhận biết một báo cáo cho rằng vấn đề này có thể đã được khai thác tích cực trong các phiên bản iOS trước iOS 16.7.

– Mô tả: Vấn đề xác thực chứng chỉ đã được giải quyết.

– CVE-2023-41991: Bill Marczak của Citizen Lab tại Trường Munk Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google

– WebKit

– Tác động: Xử lý nội dung web có thể dẫn đến thực thi mã tùy ý. Apple nhận biết một báo cáo cho rằng vấn đề này có thể đã được khai thác tích cực trong các phiên bản iOS trước iOS 16.7.

– Mô tả: Vấn đề đã được giải quyết với các kiểm tra cải thiện.

– WebKit Bugzilla: 261544
– CVE-2023-41993: Bill Marczak của Citizen Lab tại Trường Munk Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google.

#Apple #iOS #bảo_mật #lỗ_hổng #kiểm_tra_cải_thiện

Nguồn: https://9to5mac.com/2023/09/21/ios-17-0-1-re-patches-3-exploited-security-flaws/

Three days after launching iOS 17, Apple has issued iOS 17.0.1 with three important security patches. Notably, Apple says it’s aware all of the fixed vulnerabilities were reported as being actively exploited.

Shortly after releasing iOS 17.0.1 along with iPadOS 17.0.1, watchOS 10.0.1, and more with “important bug fixes and security updates,” Apple shared the vulnerability details on its security page.

3 actively exploited flaws patched

One was a kernel flaw, another bypasses signature validation issue, and the last was a WebKit vulnerability that allowed arbitrary code execution.

Apple says that each of the three flaws was reported as actively exploited prior to 16.7. For fixes, iOS 17.0.1 brings “improved checks” while the third saw “certificate validation issue” addressed to protect against the previously discovered bugs.

While it’s best to update to the new release to get the improved security, keep in mind you’ll need to install iOS 17.0.1 on your iPhone 15/15 Pro before restoring from a backup with this software.

Here are the CVE’s for each fixed flaw:

Kernel

Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, iPad mini 5th generation and later

Impact: A local attacker may be able to elevate their privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.

Description: The issue was addressed with improved checks.

CVE-2023-41992: Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group

Security

Impact: A malicious app may be able to bypass signature validation. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.

Description: A certificate validation issue was addressed.

CVE-2023-41991: Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group

WebKit

Impact: Processing web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.

Description: The issue was addressed with improved checks.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group

FTC: We use income earning auto affiliate links. More.

[ad_2]

Tin tức

Cập nhật iOS 17.0.1 vá 3 lỗ hổng bảo mật đã bị tấn công

3 actively exploited flaws patched

admin

Leave a Reply Cancel reply